上一篇我們從企業端來介紹網路安全議題,企業需要背負的責任,今天我們再往上一層來看,政府端、法律端又可以做些什麼?
最近我們IT內部曾開玩笑的感嘆,詐騙集團有了生成式AI的加持,數位轉型最成功,詐騙功力也突飛猛進。如果民眾的安全意識及企業的防禦能力無法快速提升,恐怕追趕不上日新月異的詐騙及駭客手法。但民眾的資安素養無法一觸可及,企業的數位韌性也非一朝一夕,因此政府機關及法令規範的搭配就變得格外重要。
政府擴大進用資安人才
個人資料除了在電商購物交易時會填寫、在醫療院所掛號時也會提供,還有現在有些政府單位的服務也透過數位平台,例如報稅、買賣房屋交易、戶政便民服務...等,因此公部門的數位服務平台是否安全,也極為重要。
在去年年底看到一則新聞,政府擴大進用資安人才,高考三級在今年新增了「資通安全」類科。之前只有「資料處理」類科,但資料處理人員的工作內容與資安人員的專業職能有明顯的差異,為了應對目前複雜的資通環境和駭客入侵威脅,新增「資通安全」類科讓更專業的人才來維護公家單位的系統平台,能打造更安全的數位平台環境。即使政府單位所使用的系統平台可能都委外建置或代管,有了專業的資安人才來應對委外窗口,也才能將資訊安全的需求落實傳達及驗收。 總之,這也是一項跟著時代演進很正向的措施。
資通安全管理法
2018年由行政院公布, 2019年元旦正式實施的 <資通安全管理法>,是台灣目前唯一規範各種資安事件通報、應變及處理的法令。
在第1條裡明定:為積極推動國家資通安全政策,加速建構國家資通安全環境,以保障國家安全,維護社會公共利益,特制定本法。
第二、三章也分別規範了公務機關及特定非公務機關(包括 關鍵基礎設施提供者 及 關鍵基礎設施提供者以外之特定非公務機關)遵循資通安全管理法的相關規定。
所以如果公務機關或特定非公務機關有重大的資通安全事件,不能隱瞞,需依規定於適當時機得公告與事件相關之必要內容及因應措施。若未遵守在第四章還有罰則。
但"一般企業"(例如電子商務平台業者) 非"特定非公務機關", 不受<資通安全管理法>管控。
個資法
<個資法>的第一條即清楚說明:為規範個人資料之蒐集、處理及利用,以避免人格權受侵害,並促進個人資料之合理利用,特制定本法。
不論是公務機關或非公務機關,"一般企業"都需要遵守個資法的規定,所以在蒐集、處理、利用我們民眾所留存的個人資料就需要特別注意謹慎。個人資料內容包含哪些? 我曾經在『網路安全停看聽』Podcast的第13集有介紹過,有興趣的格友們可以連結收聽。
如果違反個資法規定,在第四章有規範 "損害賠償金額及團體訴訟",第五章也有明定罰金及刑罰。
所以不論是公務員或一般企業的代表人、管理人或其他有代表權人都有事,除非你能證明已盡到防止義務。
以上是利用法令讓公務機關或非公務機關能重視並落實資通安全的最後手段。
有了個人的資安素養及企業、政府的連手防禦,才能有效對抗駭客組織及詐騙集團,打造密不可破的防護網 。
這集內容同步在『網路安全停看聽』Podcast第51集上架播出,喜歡聽聲音的朋友們,可以點選下列連結收聽喔~
